https://wiki.itcollege.ee/api.php?action=feedcontributions&feedformat=atom&user=Rraidmet
ICO wiki - User contributions [en]
2026-05-07T04:40:12Z
User contributions
MediaWiki 1.45.1
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74627
Suricata
2014-01-16T12:37:06Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame võru ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
6. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""<br />
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref><br />
<br />
<source lang="bash"><br />
HTTP_PORTS: "80"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
Lisame HTTP_PORTS sektsiooni juurde näiteks pordi 8080:<br />
<source lang="bash"><br />
HTTP_PORTS: "80,8080"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74625
Suricata
2014-01-16T12:36:39Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame võru ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
6. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""<br />
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref><br />
<br />
<source lang="bash"><br />
HTTP_PORTS: "80"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
Lisame HTTP_PORTS sektsiooni juurde näiteks pordi 8080:<br />
<source lang="bash"><br />
HTTP_PORTS: "80, 8080"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74623
Suricata
2014-01-16T12:35:10Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame võru ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
6. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""<br />
<ref>Teenuste portide lisamine, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref><br />
<br />
<source lang="bash"><br />
HTTP_PORTS: "80"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74621
Suricata
2014-01-16T12:34:13Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame võru ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
6. Võimalik on lisada konfiguratsiooni faili pordid kus meil teenused töötavad. Selleks leiame konfiguratsioonist rea, mis algab fraasiga "HTTP_PORTS: "80""<br />
, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref><br />
<br />
<source lang="bash"><br />
HTTP_PORTS: "80"<br />
<br />
SHELLCODE_PORTS: "!80"<br />
<br />
ORACLE_PORTS: 1521<br />
<br />
SSH_PORTS: 22<br />
<br />
DNP3_PORTS: 20000<br />
<br />
</source><br />
<br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74619
Suricata
2014-01-16T12:29:41Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame võru ip aadressi ja maski kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74618
Suricata
2014-01-16T12:29:01Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame Suricata konfiguratsiooni faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74617
Suricata
2014-01-16T12:28:28Z
<p>Rraidmet: /* Esmane seadistamine */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Loome kausta Suricata reeglite jaoks.<br />
<source lang="bash"><br />
mkdir /etc/suricata/rules<br />
</source><br />
<br />
3. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
4. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
5. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74608
Suricata
2014-01-16T11:41:42Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(teavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74607
Suricata
2014-01-16T11:41:28Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(lteavita)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mida Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74605
Suricata
2014-01-16T11:36:31Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused ja nende järjekord:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mis Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74604
Suricata
2014-01-16T11:35:56Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused:<ref>Suricata Action-order, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Action-order</ref><br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
Kui aus olla, siis alguses päris täpselt ei teadnudki, mis Suricata endast kujutab, kuid pärast wiki artikli kirjutamist on juba mingi ettekujutas, mida antud süsteem teeb. Suricata paigaldamise ja konfigureerimise käigus avastasime, et on olemas mitu erinevat varianti, kuidas antud süteemi paigaldada. Meie õnneks saime teada, et kõige uuema versiooniga on meie eest pool tööd tehtud ning me ei pidanudki käsitsi kopeerima erinevaid konfiguratsiooni faile. Kokkuvõttes on Suricata väga võimas ja paljude võimalustega tööriist, mille täielikuks arusaamiseks peaks seda proovima testida reaalsetes olukordades.<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74601
Suricata
2014-01-16T11:32:40Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk "Intrusion Detection System"'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS jälgib paketi tasemel liiklust IDS süsteem on tavaliselt ühendatud "switchiga" ehk kommutaatoriga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitakse näiteks SSH-ga valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk "Intrusion Prevention System"'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid, kas lasevad paketid läbi või takistavad nende liikumist. IPS jälgib paketi tasemel liiklust. IPS süsteemid paigaldatakse tavaliselt, kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
Suricata IPS'is kasutatavad tegevused:<br />
<br />
*'''PASS(luba)''' kui Suricata leiab kirjeldatud lubatud reeglite hulgast signatuuri ja see vastab paketile, siis saadetakse antud pakett edasi.<br />
<br />
*'''DROP(eemalda/lõpeta)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile, siis antud pakett tühistatakse. Saatjale selle kohast infot ei saadeta, saatja saab TCP time-out teate. Samuti raporteeritakse paketi eemaldamisest.<br />
<br />
*'''REJECT(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast keelava signatuuri ning see vastab paketile ja kasutusel on "reject" käsk, siis tühistatakse pakett. Nii saatja kui saaja saavad "reject" teate.<br />
<br />
*'''Alert(lükka tagasi)''' kui Suricata leiab kirjeldatud reeglite hulgast signatuuri, mis vastab antud paketile, siis genereeritakse teade ja liiklus lubatakse.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74592
Suricata
2014-01-16T11:15:53Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS-ks kui ka IPS-ks.<br />
<br />
*'''IDS ehk Intrusion Detection System'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud switch-iga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitaks näiteks SSH valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk Intrusion Prevention System'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74589
Suricata
2014-01-16T11:14:36Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks.<br />
<br />
*'''IDS ehk Intrusion detection system'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud switch-iga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitaks näiteks SSH valesti sisestatud kasutajanime ja parooli. <br />
<br />
*'''IPS ehk Intrusion prevention system'''<br />
<br />
IPS süsteemid jälgivad võrku sissetulevat ja väljaminevat liiklust. Vastavalt konfigureeritud reeglistikule IPS süsteemid kas lasevad paketid läbi või takistavad nende liikumist. IPS süsteemid paigaldatakse tavaliselt kas enne tulemüüri või peal tulemüüri sisevõrku.<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamise võimalused võrgu ehituses (Joonis 1. ja Joonis2):<br />
<br />
[[File:Diagram1.jpeg]]<br />
<br />
Joonis 1.<br />
<br />
[[File:Diagram2.jpeg]]<br />
<br />
Joonis 2.<br />
<br />
<br />
<br />
IDS kasutamise võimalused võrgu ehituses (Joonis3):<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
Joonis 3.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74586
Suricata
2014-01-16T11:07:42Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks. <br />
<br />
*'''IDS'''<br />
<br />
IDS süsteemid jälgivad võrguliiklust ja käituvad vastavalt seadistatud reeglistikule. IDS süsteem on tavaliselt ühendatud switch-iga. Näiteks on võimalik defineerida, et ICMP pakketide liikumisest logitakse. Samuti on võimalik määrata, et logitaks näiteks SSH valesti sisestatud kasutajanime ja parooli. <br />
<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram1.jpeg]]<br />
[[File:Diagram2.jpeg]]<br />
<br />
<br />
<br />
IDS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Toetatud on sellised Ubuntu 32bit ja 64bit versioonid <ref>Toetatud ubuntu versioonide nimekiri, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_-_Personal_Package_Archives_%28PPA%29</ref>:<br />
<br />
*10.04 Lucid<br />
*12.04 Precise<br />
*12.10 Quantal<br />
*13.04 Raring<br />
*13.10 Saucy <br />
<br />
Lisaks on soovitav kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74580
Suricata
2014-01-16T11:02:35Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
Suricatat on võimalik konfigureerida nii IDS'ks kui ka IPS'ks. <br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram1.jpeg]]<br />
[[File:Diagram2.jpeg]]<br />
<br />
<br />
<br />
IDS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74578
Suricata
2014-01-16T10:59:49Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
<br />
== IDS/IPS esitus graafilisel kujul ==<br />
<br />
IPS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram1.jpeg]]<br />
[[File:Diagram2.jpeg]]<br />
<br />
<br />
<br />
IDS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti (sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu).<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74576
Suricata
2014-01-16T10:57:05Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
IPS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram1.jpeg]]<br />
[[File:Diagram2.jpeg]]<br />
<br />
<br />
<br />
IDS kasutamis võimalused võrgu ehituses:<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74575
Suricata
2014-01-16T10:55:37Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
[[File:Diagram1.jpeg]]<br />
[[File:Diagram2.jpeg]]<br />
<br />
[[File:Diagram3.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel].<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74573
Suricata
2014-01-16T10:55:01Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. <ref>Suricata kirjeldus, http://suricata-ids.org/</ref> Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. <ref>Suricata tutvustus OISF-i kodulehel, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata</ref><br />
<br />
== Suricata eelised Snordi ees <ref> Miks kasutada Suricatat?,https://alienvault.bloomfire.com/posts/525383-when-should-i-use-suricata/public</ref> ==<br />
<br />
Suricata on alternatiivne variant Snordile, mille reeglid ühilduvad ka Suricataga, mille tõttu võib väikse vaevaga Snordi Suricata vastu välja vahetada. <br />
<br />
Mõned Suricata eelised:<br />
*Suurem jõudlus (Suricata kasutab mitmelõimelist, kuid Snort ühelõimelilt töötlemist)<br />
*Parem liikluse nähtavus (Suricatal on nähtavus rakenduskihis (OSI 7. kiht), mis suurendab pahatahtliku sisu avastamist)<br />
*Kiirem normaliseerimine ja parsimine HTTP voogude jaoks.<br />
*Automatiseeritud protokolli tuvastus (Vähendab valepositiivseid tulemusi ja avastamme protokolle, mis töötavad mittestandardsetel portidel)<br />
*Suricatat paigaldatakse ka komertstoodete sisse.<br />
*Ainus lahendus, mis töötab otse riistavara peal, mille tõttu on olemas ka spetsiaalseid riistavarilisi lahendusi Suricata jaoks.<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
[[File:Diagram1.jpeg]]<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) <ref> Suricata paigaldus Ubuntus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT</ref> =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes. <br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmane seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. <ref>Yamli Host-os-policy informatsioon, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy</ref><br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" <ref>Yamli address-groups lahtiseletus, https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars</ref><br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine <ref>Suricata testimine ühe reegli abil, http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/</ref> ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
8. Edasi saab logi puhul kasutada mõnda sündmuste korreleerimise töörista nagu näiteks SEC, mille kohta saab lugeda siit: http://simple-evcorr.sourceforge.net/SEC-tutorial/article.html või uurida EIK enda wikist teemat [https://wiki.itcollege.ee/index.php/Keskne_logihaldus_Rsyslog_ja_SEC_n%C3%A4itel Keskne logihaldus Rsyslog ja SEC näitel]<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasulikud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]<br />
<br />
= Viited =<br />
<br />
<references /></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=File:Diagram3.jpeg&diff=74572
File:Diagram3.jpeg
2014-01-16T10:54:17Z
<p>Rraidmet: </p>
<hr />
<div></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=File:Diagram2.jpeg&diff=74571
File:Diagram2.jpeg
2014-01-16T10:54:05Z
<p>Rraidmet: </p>
<hr />
<div></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=File:Diagram1.jpeg&diff=74570
File:Diagram1.jpeg
2014-01-16T10:53:53Z
<p>Rraidmet: </p>
<hr />
<div></div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74547
Suricata
2014-01-16T05:51:43Z
<p>Rraidmet: /* Baaskonfiguratsioon */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Esmasne seadistamine =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74546
Suricata
2014-01-16T05:23:35Z
<p>Rraidmet: /* Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74545
Suricata
2014-01-16T05:23:17Z
<p>Rraidmet: /* Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks "suricata".<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74544
Suricata
2014-01-16T05:22:29Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74543
Suricata
2014-01-16T05:21:50Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74542
Suricata
2014-01-16T05:21:37Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. <br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
Lisaks on soovitav on kasutada "Guest Additione"-it.<br />
<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74541
Suricata
2014-01-16T05:19:53Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
''' Ubuntu Server '''<br />
<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74540
Suricata
2014-01-16T05:19:13Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
''' Ubuntu Server '''<br />
<br />
(Võimalik kasutada eelpaigaldatud serverit: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
(Võimalik kasutada eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*RAM vastavalt graafilise keskkonna nõuetele. Soovitav 512 - 1024MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74539
Suricata
2014-01-16T05:17:12Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
''' Ubuntu Server '''<br />
<br />
(Võimalik kasutada eelpaigaldatud serverit: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 lisada staatiline ip aadress - 192.168.56.xxx<br />
*OpenSSH serveri olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74538
Suricata
2014-01-16T05:16:19Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
''' Ubuntu Server '''<br />
<br />
(Võimalik kasutada eelpaigaldatud serverit: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74537
Suricata
2014-01-16T05:14:55Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74536
Suricata
2014-01-16T05:14:41Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74535
Suricata
2014-01-16T05:14:28Z
<p>Rraidmet: /* Nõuded */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
Kasutame näidetes Ubuntu serverit ja Ubuntu klienti(sobiv klient valida ise - Ubuntu, Lubuntu, Xubuntu, Kubuntu)<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74534
Suricata
2014-01-16T05:05:46Z
<p>Rraidmet: /* Eelseadistus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus(kasutades eelpaigaldatud serverit ja klienti) =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74533
Suricata
2014-01-16T05:04:11Z
<p>Rraidmet: </p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74532
Suricata
2014-01-16T05:03:54Z
<p>Rraidmet: /* Eeldused */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74531
Suricata
2014-01-16T05:03:27Z
<p>Rraidmet: </p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74530
Suricata
2014-01-16T05:02:16Z
<p>Rraidmet: /* Süsteemi üldkirjeldus */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74529
Suricata
2014-01-16T05:01:27Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74528
Suricata
2014-01-16T05:01:10Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada nii IDS kui IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Pakime arhiivi lahti:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Liigume uude kausta:<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
==IDS/IPS funktsioon==<br />
<br />
Suricata paigaldamine ainult IDS funktsiooniga:<br />
<source lang="bash"><br />
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
Suricata paigaldamine IDS ja IPS funktsioonidega:<br />
<source lang="bash"><br />
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74527
Suricata
2014-01-16T04:43:00Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Pakime arhiivi lahti:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Liigume uude kausta:<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
==IDS/IPS funktsioon==<br />
<br />
Suricata paigaldamine ainult IDS funktsiooniga:<br />
<source lang="bash"><br />
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
Suricata paigaldamine IDS ja IPS funktsioonidega:<br />
<source lang="bash"><br />
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74526
Suricata
2014-01-16T04:40:52Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Pakime arhiivi lahti:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Liigume uude kausta:<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
==Järgnevalt on võimalus valida kahe paigaldus meetodi vahel==<br />
<br />
Suricata paigaldamine ainult IDS funktsiooniga:<br />
<source lang="bash"><br />
./configure --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
Suricata paigaldamine IDS ja IPS funktsioonidega:<br />
<source lang="bash"><br />
./configure --enable-nfqueue --prefix=/usr --sysconfdir=/etc --localstatedir=/var<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74525
Suricata
2014-01-16T04:34:27Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
<br />
Pakime arhiivi lahti:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
Liigume uude kausta:<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74524
Suricata
2014-01-16T04:33:56Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
<br />
Pakime arhiivi lahti ja liigume uude kausta:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
\n<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74523
Suricata
2014-01-16T04:33:41Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
<br />
Pakime arhiivi lahti ja liigume uude kausta:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74522
Suricata
2014-01-16T04:33:27Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Pakime arhiivi lahti ja liigume uude kausta:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet
https://wiki.itcollege.ee/index.php?title=Suricata&diff=74521
Suricata
2014-01-16T04:32:58Z
<p>Rraidmet: /* Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] */</p>
<hr />
<div>Autorid: Martin Leppik ja Randel Raidmets<br />
<br />
Rühm: A31<br />
<br />
Kuupäev: 12.12.2013<br />
<br />
= Eesmärk =<br />
<br />
Linuxi administreerimise aine raames paigaldada vastavale Ubuntu serverile sissetungimise avastamise süsteem nimega Suricata. Pärast paigaldust konfigureerida peamised sätted ja reeglid ning viimasena testida süsteemi toimimist.<br />
<br />
= Mis on Suricata? =<br />
<br />
Suricata on suure jõudlusega võrgu sissetungimise, ennetamise ja turvalisuse monitoorimise mootor. See on avatud lähtekoodiga ja omanikuks on kommuun, mida juhib mittetulunduslik sihtasutus "the Open Information Security Foundation" ehk OISF. [http://suricata-ids.org/] Suricata mootor pole ainult mõeldud selleks, et vahetada välja või emuleerida olemasolevaid tööriistu, vaid tuua uusi ideid ja tehnoloogiaid maastikule. Suricata mootor ja HTP teek on saadaval GPLv2 alusel. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/What_is_Suricata]<br />
<br />
= Eeldused =<br />
<br />
*Baasteadmised Linuxist.<br />
*Oskus hakkama saada käsureaga.<br />
*Algteadmised võrgundusest (Cisco CCNA1).<br />
<br />
= Nõuded =<br />
<br />
Nii server kui ka klient töötavad meie lahenduse puhul Oracle'i [https://www.virtualbox.org/wiki/Downloads Virtualboxi] peal. Lisaks on soovitav on kasutada "Extension Packi" ja "Guest Additione".<br />
<br />
''' Server '''<br />
<br />
*Ubuntu Server 12.04.1 LTS (eelpaigaldatud server: http://elab.itcollege.ee:8000/ubuntu-12.04.1-server-amd64.iso)<br />
*RAM 512MB<br />
*HDD dynamicly allocated 8GB<br />
*2 Võrgukaarti NIC1 - NAT (eth0 - Ubuntus) ja NIC2 - HostOnly (eth1 - Ubuntus)<br />
*Liidese eth1 ip aadress 192.168.56.xxx<br />
*OpenSSH olemasolu<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_server.ova serverit], mis on pärit IT infrastruktuuri teenuste ainest, mida muutsime (sellest lähemalt eelseadistuse osas).<br />
Kasutajanimi ja parool on student.<br />
<br />
''' Klient '''<br />
<br />
*Ubuntu Desktop 12.04.1 LTS (eelpaigaldatud klient: http://elab.itcollege.ee:8000/ubuntu-12.04.1-desktop-amd64.iso)<br />
*OpenSSH olemasolu(valikuline)<br />
<br />
Kasutasime eelnevalt seadistatud [http://elab.itcollege.ee:8000/infra_klient.ova klienti]. Kasutajanimi ja parool on student.<br />
<br />
= Eelseadistus =<br />
<br />
Kõik käsud käivitame serveris juurkasutaja õigustes.<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
1.Muudame ära hostname'i nimeks suricata.<br />
<source lang="bash"><br />
nano /etc/hostname<br />
</source><br />
<br />
2.Muudame liidese eth1 IP aadressi selliseks 192.168.56.201.<br />
<source lang="bash"><br />
nano /etc/network/interfaces<br />
</source><br />
<br />
Liidese eth1 näidis:<br />
<source lang="bash"><br />
auto eth1<br />
iface eth1 inet static<br />
address 192.168.56.201<br />
netmask 255.255.255.0<br />
</source><br />
<br />
3. Kirjeldame faili /etc/hosts sisu<br />
<source lang="bash"><br />
nano /etc/hosts<br />
</source><br />
<br />
Faili /etc/hosts faili näidis:<br />
<source lang="bash"><br />
127.0.0.1 localhost<br />
127.0.1.1 suricata.planet.zz suricata<br />
192.168.56.201 suricata.planet.zz suricata<br />
192.168.56.200 puppetmaster.planet.zz puppetmaster<br />
192.168.56.101 klient.planet.zz klient<br />
</source><br />
<br />
4. Uuendame ära tarkvara nimekirja info<br />
<source lang="bash"><br />
apt-get update<br />
</source><br />
<br />
5. Uuendame ära tarkvara<br />
<source lang="bash"><br />
apt-get upgrade<br />
</source><br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada ainult IDS funktsiooni) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
1. Kõigepealt paigaldame paki nimega "python-software-properties", kuna selle sees asub programm "add-apt-repository", mida kasutame järgmisena.<br />
<source lang="bash"><br />
apt-get install python-software-properties<br />
</source><br />
<br />
2. Viimase stabiilse Suricata versiooni jaoks käivita vastavad käsud:<br />
<source lang="bash"><br />
add-apt-repository ppa:oisf/suricata-stable<br />
apt-get update<br />
</source><br />
<br />
3. Järgmisena paigalda Suricata<br />
<source lang="bash"><br />
apt-get install suricata<br />
</source><br />
<br />
== Uuendamine ja eemaldamine ==<br />
<br />
1. Suricata uuendamiseks käsud<br />
<source lang="bash"><br />
apt-get update<br />
apt-get upgrade<br />
</source><br />
<br />
2. Eemaldamiseks käsk<br />
<source lang="bash"><br />
apt-get remove suricata<br />
</source><br />
<br />
<br />
<br />
= Paigaldus Ubuntu serveris (võimaldab kasutada IDS ja IPS funktsioone) [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Ubuntu_Installation_from_GIT] =<br />
<br />
Juurkasutajale üleminek:<br />
<source lang="bash"><br />
sudo -i<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis on tarvis Suricata jaoks:<br />
<source lang="bash"><br />
apt-get install libpcre3 libpcre3-dbg libpcre3-dev build-essential autoconf automake <br />
libtool libpcap-dev libnet1-dev libyaml-0-2 libyaml-dev zlib1g zlib1g-dev libcap-ng-dev libcap-ng0 make libmagic-dev<br />
</source><br />
<br />
Paigaldame järgnevad paketi, mis vajalikud IPSi toimimiseks:<br />
<source lang="bash"><br />
apt-get install libnetfilter-queue-dev libnetfilter-queue1 libnfnetlink-dev libnfnetlink0<br />
</source><br />
<br />
Laeme alla Suricata:<br />
<source lang="bash"><br />
wget http://www.openinfosecfoundation.org/download/suricata-1.4.7.tar.gz<br />
</source><br />
<br />
Pakime arhiivi lahti ja liigume uude kausta:<br />
<source lang="bash"><br />
tar -xvzf suricata-1.4.7.tar.gz<br />
</source><br />
<source lang="bash"><br />
cd suricata-1.4.7<br />
</source><br />
<br />
= Süsteemi üldkirjeldus =<br />
<br />
Siia tuleb panna skeem ja juurde kirjutada.<br />
<br />
= Baaskonfiguratsioon =<br />
<br />
Need käsud käivita serveris juurkasutajaõigustes.<br />
<br />
1. Loome kausta Suricata logide jaoks.<br />
<source lang="bash"><br />
mkdir /var/log/suricata<br />
</source><br />
<br />
2. Avame faili /etc/suricata/suricata.yaml<br />
<source lang="bash"><br />
nano /etc/suricata/suricata.yaml<br />
</source><br />
<br />
3. Kirjeldame, millised operatsioonisüsteemid on meie võrgus seal, kus hakkab rida "host-os-policy" ja nimetame nende ip aadressid. [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Host-os-policy]<br />
<source lang="bash"><br />
host-os-policy:<br />
# Make the default policy windows.<br />
windows: []<br />
bsd: []<br />
bsd-right: []<br />
old-linux: []<br />
linux: [192.168.56.200, 192.168.56.201, 192.168.56.101, 127.0.0.1]<br />
old-solaris: []<br />
solaris: []<br />
hpux10: []<br />
hpux11: []<br />
irix: []<br />
macos: []<br />
vista: []<br />
</source><br />
<br />
4. Kirjeldame koduvõrgu ip aadressi vahemiku kohas, mis algab reaga "address-groups:" [https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricatayaml#Rule-vars]<br />
<br />
<source lang="bash"><br />
address-groups:<br />
<br />
HOME_NET: "[192.168.56.0/24]"<br />
<br />
EXTERNAL_NET: "!$HOME_NET"<br />
</source><br />
<br />
== Kiire testimine [http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/] ==<br />
<br />
Need käsud käivita serveris juurkasutaja õigustes.<br />
<br />
1. Loome faili test.rules kausta /etc/suricata/rules/<br />
<source lang="bash"><br />
touch /etc/suricata/rules/test.rules<br />
</source><br />
<br />
2. Kirjutama test.rules faili testimise jaoks ühe reegli.<br />
<source lang="bash"><br />
alert ip any any -> any any (msg:"ICMP detected"; sid:2; rev:1;)<br />
</source><br />
<br />
3. Avame uuesti faili /etc/suricata/suricata.yaml, kus lähme asukohta, mis hakkab reaga "rule_files:" ja kommenteerime kõik reeglid välja ja kirjeldame seal oma reegli nimega "test.rules".<br />
<source lang="bash"><br />
rule-files:<br />
- test.rules<br />
# - botcc.rules<br />
# - ciarmy.rules<br />
# - compromised.rules<br />
# - drop.rules<br />
# - dshield.rules<br />
# - emerging-activex.rules<br />
# - emerging-attack_response.rules<br />
# - emerging-chat.rules<br />
# - emerging-current_events.rules<br />
# - emerging-dns.rules<br />
# - emerging-dos.rules<br />
# - emerging-exploit.rules<br />
# - emerging-ftp.rules<br />
...<br />
</source><br />
<br />
4. Paneme suricata monitoorima eth1 liidese peal.<br />
<source lang="bash"><br />
suricata -c /etc/suricata/suricata.yaml -i eth1<br />
</source><br />
<br />
5. Teeme oma kliendi masina pealt pingi Suricata serveri pihta.<br />
<source lang="bash"><br />
ping 192.168.56.201<br />
</source><br />
<br />
6. Laseme tunde järgi pingida ja seejärel paneme monitoorimise kinni ning vaatame logi.<br />
<source lang="bash"><br />
less /var/log/suricata/fast.log<br />
</source><br />
<br />
7. Logi sisu peaks olema umbes selline:<br />
<source lang="bash"><br />
01/15/2014-00:08:59.409903 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:08:59.409937 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
01/15/2014-00:09:00.410130 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.101:8 -> 192.168.56.201:0<br />
01/15/2014-00:09:00.410171 [**] [1:2:1] ICMP detected [**] [Classification: (null)] [Priority: 3] {ICMP} 192.168.56.201:0 -> 192.168.56.101:0<br />
</source><br />
<br />
=Randeli reeglite teema=<br />
<br />
=Kokkuvõte=<br />
<br />
= Kasutatud materjalid =<br />
<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-1-intro-install.4346/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-2-configure-test.4348/<br />
*http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/<br />
*http://suricata-ids.org/<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Installation<br />
*https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Basic_Setup<br />
*<br />
<br />
[[Category: Linuxi administreerimine]]</div>
Rraidmet